最近在整改项目的安全业务,扫描出好多相关的问题,开个文章说下安全攻击方式以及安全整改手段。
注入攻击主要有两种形式,sql注入攻击和os注入攻击。
sql注入攻击就是攻击者在HTTP请求中注入恶意sql命令服务器用请求参数构造数据库sql命令时,恶意sql一起被构造,并在数据库中执行。
操作系统命令注入(也称为外壳程序注入)是一个网络安全漏洞,攻击者可以利用该漏洞在运行应用程序的服务器上执行任意操作系统(OS)命令,通常会完全破坏应用程序及其所有数据。常常,攻击者可以利用OS命令注入漏洞来破坏托管基础结构的其他部分,利用信任关系将攻击转移到组织内的其他系统。
代码示例不做操作,有兴趣的可以自己百度,本文只是做说明
防护手段,针对sql注入攻击对请求参数进行匹配过滤,代码中sql使用预编译手段,参数绑定是最好的防sql注入方法。
防止os注入攻击就是不要在代码中直接调用服务器端命令